Un nuevo método de phishing ha sido descubierto en la aplicación de Microsoft Teams, permitiendo a los atacantes hacerse pasar por usuarios miembros internos de una organización y enviar mensajes fraudulentos a otros usuarios.
Esto se debe a las vulnerabilidades presentes en las protecciones del lado del cliente de la aplicación, que pueden ser explotadas para así tratar a un usuario externo de la organización como interno simplemente cambiando la ID en la solicitud POST de un mensaje.
Aprovechando esto, el investigador de seguridad Alex Reid ha desarrollado una herramienta llamada «TeamsPhisher», basada en Python, que automatiza por completo este tipo de ataque. El software combina los conceptos de ataque de los investigadores de Jumpsec, las técnicas desarrolladas por Andrea Santese y las funciones de autenticación y asistencia de la herramienta «TeamsEnum» creada por Bastian Kanbach.
Y es que el funcionamiento de la herramienta es muy sencillo, sólo le tienes que proporcionar un adjunto, un mensaje y una lista de objetivos de usuarios de Teams, con esto, la herramienta carga el adjunto en el Sharepoint del remitente y luego itera a través de la lista de objetivos.
Antes de ejecutar el ataque, TeamsPhisher verifica la existencia del usuario objetivo y su capacidad para recibir mensajes externos, lo cual es un requisito previo para el éxito de la operación.
Una vez verificado, el software crea un nuevo hilo de conversación con el objetivo, enviándole un mensaje que incluye un enlace adjunto del Sharepoint. Este hilo aparece en la interfaz de Teams del remitente, lo que permite una posible interacción manual por parte del usuario.
Es importante destacar que TeamsPhisher requiere que los usuarios tengan una cuenta comercial de Microsoft (se admite MFA) con una licencia válida de Teams y Sharepoint, lo cual es común en muchas empresas importantes.
Además, la herramienta ofrece un «modo de vista previa» que permite a los usuarios verificar las listas de objetivos establecidas y revisar la apariencia de los mensajes desde la perspectiva del destinatario.
TeamsPhisher también ofrece otras características y argumentos opcionales que pueden mejorar el éxito del ataque. Estas incluyen enviar enlaces de archivos seguros que solo pueden ser vistos por el destinatario previsto, especificar un retraso entre los envíos de mensajes para evitar límites de velocidad y generar un archivo de registro con los resultados.
Microsoft ha sido informado sobre el problema y ha comunicado a los investigadores de Jumpsec que no cumple con los requisitos para una solución inmediata. Según Microsoft, este tipo de ataque se basa en ingeniería social, por lo que recomienda a los clientes seguir buenas prácticas en línea para evitar riesgos.
Sin embargo, existe la posibilidad de que actores de amenazas aprovechen TeamsPhisher para entregar malware a organizaciones objetivo sin despertar sospechas.
Hasta que Microsoft tome medidas para abordar esta vulnerabilidad, se recomienda a las organizaciones que utilicen esta aplicación como medio de comunicación interno desactivar las comunicaciones con miembros externos a la misma si no es estrictamente necesario. También es recomendable crear una lista de dominios confiables que limiten el riesgo de explotación.